Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Control del acceso de red a sistemas de archivos de EFS para clientes NFS
<a name="NFS-access-control-efs"></a>

Puede controlar el acceso de los clientes de NFS a los sistemas de archivos de Amazon EFS mediante la seguridad de capa de red y las políticas de sistema de archivos de EFS. Puede utilizar los mecanismos de seguridad de capa de red disponibles en Amazon EC2, como las reglas y la red de los grupos de seguridad de las VPC. ACLs También puede usar AWS IAM para controlar el acceso a NFS con una política de sistema de archivos EFS y políticas basadas en la identidad.

**Topics**
+ [

# Uso de grupos de seguridad de VPC
](network-access.md)
+ [

# Uso de los puntos de conexión de VPC de interfaz en Amazon EFS
](efs-vpc-endpoints.md)

# Uso de grupos de seguridad de VPC
<a name="network-access"></a>

Al usar Amazon EFS, especifica los grupos de seguridad de VPC para sus instancias de EC2 y los grupos de seguridad de los destinos de montaje de EFS asociados al sistema de archivos. Un grupo de seguridad actúa como firewall y las reglas que agregue definen el flujo de tráfico. En el [ejercicio de introducción](getting-started.md), creó un grupo de seguridad al lanzar la instancia de EFS. A continuación, asoció otra con el destino de montaje de EFS (es decir, el grupo de seguridad predeterminado para la VPC predeterminada). Esta estrategia funciona para el ejercicio de introducción. Sin embargo, en un sistema de producción, debe configurar los grupos de seguridad con permisos mínimos para su uso con Amazon EFS.

Puede autorizar el acceso de entrada y de salida a su sistema de archivos de EFS. Para ello, agrega reglas que permitan a las instancias de EFS conectarse al sistema de archivos de EFS a través del destino de montaje utilizando el puerto del sistema de archivos de red (NFS).
+ Cada instancia de EC2 que monta el sistema de archivos debe tener un grupo de seguridad con una regla que permita el acceso de salida al destino de montaje en el **puerto NFS 2049**. 
+ El destino de montaje de EFS debe tener un grupo de seguridad con una regla que permita el acceso de entrada al puerto NFS 2049 desde cada instancia de EC2 en la que se desea montar el sistema de archivos.

En la tabla siguiente, se muestran las reglas de grupo de seguridad específicas requeridas:


| Security Group | Tipo de regla | Protocolo | Puerto | Origen/Destino | 
| --- | --- | --- | --- | --- | 
| Instancia de EC2 | Salida | TCP | 2049 | Grupo de seguridad del destino de montaje | 
| Destino de montaje | Entrada | TCP | 2049 | Grupo de seguridad de la instancia de EC2 | 

## Puertos de origen para trabajar con Amazon EFS
<a name="source-ports"></a>

Para admitir un amplio conjunto de clientes NFS, Amazon EFS permite establecer conexiones desde cualquier puerto de origen. Si necesita que solo los usuarios con privilegios puedan acceder a Amazon EFS, le recomendamos que utilice la siguiente regla de firewall de cliente. Conéctese a su sistema de archivos mediante SSH y ejecute el siguiente comando:

```
iptables -I OUTPUT 1 -m owner --uid-owner 1-4294967294 -m tcp -p tcp --dport 2049 -j DROP
```

Este comando inserta una nueva regla al inicio de la cadena OUTPUT (`-I OUTPUT 1`). La regla impide que un proceso sin privilegios que no es del kernel (`-m owner --uid-owner 1-4294967294`) abra una conexión al puerto NFS 2049 (`-m tcp -p tcp –dport 2049`).

## Consideraciones de seguridad para el acceso a la red
<a name="sg-information"></a>

Un cliente NFS de la versión 4.1 (NFSv4.1) solo puede montar un sistema de archivos si puede establecer una conexión de red con el puerto NFS (puerto TCP 2049) de uno de los destinos de montaje del sistema de archivos. Del mismo modo, un cliente NFSv4 .1 solo puede utilizar un identificador de usuario y grupo al acceder a un sistema de archivos si puede establecer esta conexión de red. 

La capacidad de realizar esta conexión de red se rige mediante una combinación de lo siguiente:
+ **Aislamiento de red proporcionado por el VPC de los destinos de montaje**: los destinos de montaje del sistema de archivos no pueden tener direcciones IP públicas asociadas a los mismos. Los únicos destinos que pueden montar sistemas de archivos son los siguientes: 
  + Instancias de Amazon EC2 en la VPC de Amazon local
  + Las instancias EC2 están conectadas VPCs
  + Servidores locales conectados a una Amazon VPC AWS Direct Connect mediante AWS Virtual Private Network una (VPN)
+ **Listas de control de acceso a la red (ACLs) para las subredes de VPC del cliente y los destinos de montaje, para acceder desde fuera de las subredes del objetivo** de montaje: para montar un sistema de archivos, el cliente debe poder establecer una conexión TCP al puerto NFS 2049 de un destino de montaje y recibir tráfico de retorno. 
+ **Reglas de los grupos de seguridad de la VPC del cliente y de los destinos de montaje, para todos los accesos**: para que una instancia EC2 monte un sistema de archivos, deben estar en vigor las siguientes reglas de grupo de seguridad: 
  +  El sistema de archivos debe tener un destino de montaje cuya interfaz de red tenga un grupo de seguridad con una regla que permita las conexiones de entrada en el puerto NFS 2049 desde la instancia. Puede habilitar las conexiones entrantes ya sea por dirección IP (rango de CIDR) o grupo de seguridad. El origen de las reglas de grupo de seguridad en las interfaces de red del destino de montaje es un factor clave del control de acceso al sistema de archivos. Las interfaces de red para los destinos de montaje del sistema de archivos no utilizan reglas de entrada distintas a las del puerto de NFS 2049, así como cualquier regla de salida. 
  +  La instancia de montaje debe tener una interfaz de red con un grupo de seguridad que permita las conexiones de entrada en el puerto NFS 2049 en uno de los destinos de montaje del sistema de archivos. Puede habilitar las conexiones salientes ya sea por dirección IP (rango de CIDR) o grupo de seguridad.

Para obtener más información, consulte [Administrar destinos de montaje](accessing-fs.md).

## Creación de grupos de seguridad
<a name="security-group-create"></a>

**Cómo crear grupos de seguridad para instancias de EC2 y destinos de montaje de EFS**

Estos son los pasos generales que debe seguir al crear los grupos de seguridad para Amazon EFS. Para obtener instrucciones acerca de cómo crear grupos de seguridad, consulte [Creación de un grupo de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) en la *Guía del usuario de Amazon VPC*.

1. Para las instancias de EC2, cree un grupo de seguridad con las siguientes reglas:
   + Una regla de entrada que permita el acceso de entrada mediante Secure Shell (SSH) en el **puerto 22** desde su dirección IP o red. De forma opcional, por seguridad, puede restringir la dirección **Origen**. 
   + Una regla de salida que permite el acceso de salida en el puerto NFS 2049 al grupo de seguridad del destino de montaje. Identifique el grupo de seguridad del destino de montaje como el destino.

1. Para el destino de montaje de EFS, cree un grupo de seguridad con las siguientes reglas:
   + Una regla de entrada que permita el acceso en el puerto NFS 2049 desde el grupo de seguridad de EC2. Identifique el grupo de seguridad de EC2 como el origen.
**nota**  
No es necesario agregar una regla de salida, ya que la regla de salida predeterminada permite todo el tráfico de salida.

# Uso de los puntos de conexión de VPC de interfaz en Amazon EFS
<a name="efs-vpc-endpoints"></a>

Para establecer una conexión privada entre su nube privada virtual (VPC) y la API de Amazon EFS, puede crear un punto de conexión de la VPC de tipo interfaz. El punto de conexión proporciona conectividad segura a la API de Amazon EFS sin necesidad de una puerta de enlace de Internet, una instancia NAT o una conexión de red privada virtual (VPN). Para obtener más información, consulte [Acceder a un AWS servicio mediante un punto de enlace de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) en la Guía del usuario de Amazon *VPC*. 

Los puntos finales de la interfaz VPC cuentan con una función que permite la comunicación privada entre AWS servicios mediante direcciones IP privadas. AWS PrivateLink Para usarlo AWS PrivateLink, cree un punto de enlace de VPC de interfaz para Amazon EFS en su VPC mediante la consola, la API o la CLI de Amazon VPC. Al hacerlo, se crea una interfaz de red elástica en la subred con una dirección IP privada que sirve solicitudes API de Amazon EFS. También puede acceder a un punto final de VPC desde entornos locales o desde otros entornos de VPCs uso Site-to-Site VPN o interconexión de VPC. Direct Connect Para obtener más información, consulte [Conectar la VPC a los servicios mediante AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html) en la *Guía del usuario de Amazon VPC*. 

## Creación de un punto de conexión de interfaz para Amazon EFS
<a name="create-vpce-efs"></a>

Para crear un punto de conexión de VPC de interfaz para Amazon EFS, utilice una de las siguientes opciones:
+ `com.amazonaws.region.elasticfilesystem`: crea un punto de conexión para las operaciones de la API de Amazon EFS.
+ **`com.amazonaws.region.elasticfilesystem-fips`**: crea un punto de conexión para la API de Amazon EFS que cumple con el [Estándar federal de procesamiento de información (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).

Para obtener una lista completa de los puntos de conexión de Amazon EFS, consulte [Puntos de conexión y cuotas de Amazon Elastic File System](https://docs.aws.amazon.com/general/latest/gr/elasticfilesystem.html) en la *Referencia general de Amazon Web Services*. 

Para obtener más información sobre cómo crear un punto de enlace de interfaz, consulte [Acceder a un AWS servicio mediante un punto de enlace de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) en la Guía del usuario de Amazon *VPC*.

## Creación de una política de puntos de conexión de VPC para Amazon EFS
<a name="create-vpce-policy-efs"></a>

Para controlar el acceso a la API de Amazon EFS, puede adjuntar una política AWS Identity and Access Management (IAM) a su punto de enlace de VPC. La política especifica lo siguiente:
+ La entidad principal que puede realizar acciones.
+ Las acciones que se pueden realizar.
+ Los recursos en los que se pueden llevar a cabo las acciones. 

Para obtener más información, consulte [Controlar el acceso a los puntos de conexión de la VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) mediante políticas de puntos de conexión en la *Guía de usuario de Amazon VPC*.

En el ejemplo siguiente se muestra una política de punto de enlace de la VPC que deniega a todos los usuarios el permiso para crear un sistema de archivos de EFS a través del punto de enlace. La política de ejemplo también concede permiso a todos los usuarios para realizar todas las demás acciones. 

```
{
   "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "elasticfilesystem:CreateFileSystem",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
```